Перейти к содержанию

Рекомендации по установке и поддержке Валарм WAF

В данном документе сформулированы рекомендации по установке и поддержке компонентов Валарм WAF.

Изучите возможности NGINX

Основной компонент Валарм WAF — WAF‑нода, которая устанавливается в вашу инфраструктуру. В большинстве форм установок, WAF‑нода использует NGINX в качестве обратного прокси‑сервера.

NGINX — надежный и производительный сервер, который предоставляет широкий набор возможностей и модулей. Чтобы познакомиться с NGINX и его возможностями, мы рекомендуем обратиться к следующим публичным статьям на английском языке:

Следуйте рекомендованному процессу при изучении продукта

  1. Изучите возможные формы установки WAF‑ноды.

  2. Если требуется, изучите способы настройки WAF‑ноды для изолированных сред.

  3. Разверните WAF‑ноду в режиме фильтрации monitoring в среде разработки или тестирования.

  4. Изучите механизм работы, способы масштабирования и мониторинга WAF‑ноды и убедитесь в стабильности нового компонента системы.

  5. Разверните WAF‑ноду в режиме фильтрации monitoring в боевой среде.

  6. Настройте процессы обновления и мониторинга WAF‑ноды.

  7. Сохраните движение запросов через WAF‑ноды в течение 7-14 дней во всех средах, включая тестовую и боевую. Это позволит Облаку Валарм более качественно проанализировать ваше приложение и входящие запросы.

  8. Переведите WAF‑ноду в режим фильтрации block в среде разработки или тестирования и убедитесь, что это не повлияло на работу защищаемого ресурса, используя ручные или автоматизированные тесты.

  9. Переведите WAF‑ноду в режим фильтрации block в боевой среде и убедитесь, что это не повлияло на работу защищаемого ресурса, используя ручные или автоматизированные тесты.

Разверните WAF‑ноду в тестовой и в боевой средах

В большинстве случаев количество WAF‑нод, которые может установить клиент, не ограничено. Поэтому мы рекомендуем развернуть и использовать WAF‑ноду во всех средах вашей инфраструктуры: в боевой и тестовой средах, среде разработки и т.д.

Анализ запросов к приложению на всех этапах его разработки и публикации позволяет составить более точный профиль приложения и минимизировать риск непредвиденного поведения WAF‑ноды в боевой среде.

Используйте библиотеку libdetection для анализа запросов

Начиная с WAF‑ноды версии 2.16, при анализе запросов может использоваться метод двойного обнаружения атак. При двойном обнаружении атак библиотека libdetection выполняет дополнительную валидацию атак типа SQL‑инъекций, обнаруженных с помощью библиотеки libproton.

Метод двойного обнаружения атак значительно увеличивает качество определения атак типа SQL‑инъекций. Поэтому мы рекомендуем обновить WAF‑ноду до последней версии и включить анализ запросов с помощью libdetection, используя инструкции:

Настройте корректную передачу IP‑адреса источника запросов

Если перед передачей на WAF‑ноду запросы проходят через прокси‑сервер или балансировщик нагрузки, в качестве IP‑адреса источника запросов на WAF‑ноду передается адрес прокси-сервера или балансировщика. В этом случае блокировка IP‑адресов (добавление в черный список), Активная проверка атак и некоторые другие возможности Валарм WAF могут работать некорректно.

Чтобы настроить корректную передачу IP‑адреса источника на WAF‑ноду, используйте следующие инструкции:

Добавьте IP‑адреса Сканера Валарм в белый список

Чтобы WAF‑нода не блокировала запросы, которые модуль активной проверки атак и Сканер уязвимостей отправляют на адрес приложения для обнаружения уязвимостей, необходимо отключить блокировку IP‑адресов Сканера Валарм. Чтобы добавить IP‑адреса в белый список, используйте следующие инструкции:

Если IP‑адреса Сканера Валарм не добавлены в белый список, модуль активной проверки атак и Сканер уязвимостей могут работать некорректно.

Настройте мониторинг развернутых WAF‑нод

Одна из рекомендуемых настроек WAF‑ноды — качественный мониторинг ее работы. Вместе с каждой WAF‑нодой Валарм установлен сервис collectd, который собирает метрики по состоянию WAF‑ноды и проанализированным запросам.

Способ для настройки мониторинга WAF‑ноды зависит от формы ее установки:

Настройте схему резервирования защищаемого ресурса

Как и установка любого компонента в боевой среде, установка WAF‑ноды должна быть правильно спроектирована и произведена с учетом случаев, когда WAF‑нода может оказаться неработоспособной (например, из‑за отключения питания). Для высокой доступности WAF‑ноды, необходимо использовать минимум две WAF‑ноды для обработки основного трафика ресурса и настроить схему резервирования, используя следующие инструкции:

Включите блокировку запросов по IP‑адресам

Помимо блокировки запросов с признаками атаки, WAF‑нода Валарм может блокировать IP‑адреса источников запросов (добавлять в черный список). По умолчанию блокировка IP‑адресов отключена.

Мы рекомендуем включить блокировку запросов по IP‑адресам после знакомства с основными возможностями Валарм WAF и переключения WAF‑ноды из режиме мониторинга в режим блокировки. Для включения блокировки IP‑адресов используйте следующие инструкции:

После включения блокировки запросов по IP‑адресам, вы можете выполнить следующие полезные настройки Валарм WAF с помощью триггеров:

Изучите способы низкоуровневой конфигурации WAF‑ноды

  • Применяйте стандартные процессы управления настройками DevOps-компонентов для низкоуровневой конфигурации WAF‑ноды.

  • Настраивайте правила обработки трафика конкретных приложений, задавая разные ID приложений или значения заголовка Host.

  • Помимо применения правила Считать запрос атакой на основе регулярного выражения к конкретному приложению, вы можете использовать это правило в экспериментальном режиме, или когда WAF‑нода работает в режиме мониторинга.

  • Используйте правило Установить режим фильтрации запросов для изменения режима фильтрации в конкретных средах и запросах. Данное правило позволяет более гибко настроить способ защиты новых эндпоинтов и других ресурсов в разных средах. По умолчанию, используется значение wallarm_mode в зависимости от настройки wallarm_mode_allow_override.

Настройте интеграции со сторонними системами для уведомлений о событиях

Чтобы оперативно получать уведомления о событиях безопасности в вашей системе, вы можете настроить нативные интеграции с PagerDuty, Opsgenie, Slack, Telegram и другими системами. Например, в системы отправляются следующие уведомления:

  • Новые уязвимости, обнаруженные в защищаемом приложении

  • Изменения в сетевом периметре компании

  • Новые пользователи аккаунта компании в Консоли управления Валарм и т.д.

Для более тонкой настройки уведомлений вы также можете использовать Триггеры.

Изучите возможности Триггеров

В зависимости от особенностей ваших приложений, мы рекомендуем изучить следующие возможности триггеров:

Включите SSO для аккаунта вашей компании в Консоли управления Валарм

Вы можете использовать технологию единого входа (Single Sign‑On, SSO) для аутентификации пользователей вашей компании в Консоли управления Валарм. В качестве провайдера SSO может использоваться G Suite, Okta, OneLogin или любой другой провайдер.

Для включения SSO, свяжитесь с вашим аккаунт-менеджером Валарм или технической поддержкой Валарм и после этого выполните настройку SSO по инструкции.

Используйте Terraform-провайдер Валарм для управления конфигурацией Облака Валарм

С помощью официального Terraform-провайдера Валарм вы можете управлять конфигурацией Облака Валарм, а именно: списком ползователей, приложений, интеграций и т.д.

Включите в план оперативное обновление WAF‑ноды до новых версий

Мы непрерывно повышаем качество продукта Валарм WAF и выпускаем новые версии с улучшениями. Новые версии публикуются примерно раз в квартал. Более детальная информация о процессе обновления и возможных рисках приведена в документе с рекомендациями по обновлению WAF‑ноды.

Ознакомьтесь с известными ограничениями продукта

  • Все WAF‑ноды, прикрепленные к одному аккаунту Валарм, получают из Облака Валарм одинаковый набор правил. Вы можете применить разные правила к разным приложениям, задав ID приложений или уникальные элементы HTTP-запросов (например, заголовки) в настройках правил.

  • Если в Консоли управления Валарм настроен триггер, который блокирует IP‑адреса (например, триггер по умолчанию), IP‑адрес будет заблокирован для всех приложений. Блокировка IP‑адресов (добавление в черный список) настраивается на уровне WAF‑ноды и защищаемого ресурса с помощью локальных настроек NGINX.

Следуйте рекомендациям по управлению модулем активной проверки атак

Один из методов обнаружения уязвимостейАктивная проверка атак. Модуль активной проверки атак воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и анализирует ответ приложения на наличие признаков уязвимостей, которые потенциально могли быть проэксплуатированы.

Изучить рекомендации по управлению модулем активной проверки атак →